パスワードクエリを使用せずに暗号化されたシステムをリモートで再起動する
次回の起動時にパスワードを必要とせずに暗号化されたシステムをリモートで再起動するための標準的な解決策はありますか?
問題のシステムは、LUKSルートパーティションと暗号化されていないブートパーティションで暗号化されたUbuntuです。
私が想像できる唯一の方法は、ブートパーティション上にあるファイルに基づいてランダムに生成された2番目のキーを追加し、システムブート時に開始スクリプトを使用してそれを削除することです。
上記のアプローチは機能しますか?または、手動によるアプローチを必要としないデフォルトのオプションはありますか?
私が考えることができる唯一のセキュリティ上の影響は、システムが最初のサービスを開始する前に起動に失敗した場合です。
最小限のsshdを含むinitrdをセットアップして(dropbearが思い浮かびます)、それに接続してパスワードを手動で入力することができます。または、 マンドス を調べることもできます。誰かがあなたのサーバーに物理的にアクセスでき、あなたが気付かないうちにブートコードを置き換えることができるなら、あなたは何があってもゲームオーバーであることに注意してください